Ботнет Kelihos/Hlux значительно сократился в размерах

По оценке «Лаборатории Касперского», в настоящее время в состав р2р ботнета-спамера Hlux, он же Kelihos, входят всего порядка 1 тыс. активных IP-адресов. Большинство зараженных машин работают под Windows XP, около половины имеют польскую прописку. Оценка произведена по результатам мониторинга подключений к sinkhole-серверу, внедренному в бот-сеть в марте прошлого года.

Как показывает статистика, размеры Hlux/Kelihos резко сократились уже к июлю 2012 года. В настоящий момент фиксируется около 1000 новых уникальных ботов в месяц. В сентябре 2011 года, при первой совместной попытке ликвидации Hlux, эксперты насчитали в его составе 49 тыс. уникальных ботов, а в марте 2012-го, в ходе второго «штурма» экспертов ― свыше 110 тысяч ботов.

Поток спам сообщений, генерируемых Hlux, тоже очень сократился. Согласно статистике Trustwave, в мае 2013 на долю Hlux приходилось около 60% почтового мусора, в июле – 17%, а в начале ноября лишь 7,6%.

Как уже неоднократно отмечалось, р2р-ботнеты обладают повышенной живучестью. Hlux, обладающий развитой пиринговой инфраструктурой, уже пережил несколько попыток захвата AV экспертами и каждый раз восстанавливался.

В 2013 году попытку нейтрализации Hlux вживую продемонстрировал на конференции RSA Тиллман Вернер (Tillmann Werner) из CrowdStrike. К этому времени одноименный зловред в дополнение к своему основному функционалу, рассылке спама, уже научился также красть пароли, персональные идентификатора и даже кошельки Bitcoin.